Cisco IOSにバッファオーバーフロー脆弱性、深刻度はCritical 36
ストーリー by Acanthopanax
パッチ適用 部門より
パッチ適用 部門より
あるAnonymous Coward曰く、"MYCOM PCWEBの記事より。Cisco Systemsのルーターに使用されているソフトウェアのCisco IOSに、ヒープ領域のメモリに対するバッファオーバーフロー脆弱性が発見された。当該脆弱性を突くことで、システムタイマープロセスにリモート/ローカル双方から任意のコマンドを実行させることが可能となる。対象となるのはCisco IOS 12.0/12.1/12.2/12.3/12.4。対応方法はCisco社の修正パッチの適用。French Security Incident Response Teamの評価は、最も深刻である「Critical」となっている。"
これか? (スコア:4, 参考になる)
Re:これか? (スコア:4, 参考になる)
話は変わりますが、最近のではApple QuickTime Integer Overflow and Denial of Service Vulnerabilities [frsirt.com]もヤバそうな気がしますけどね。IT Pro [nikkeibp.co.jp]からも記事が出ています。
Re:これか? (スコア:2, 参考になる)
ACLやコマンドで対応できるならいいんだけど、この手のIOS入れ替え系はつらい。なんとかならんかなぁ。
Re:これか? (スコア:1)
感覚的な話ではありますが、Ciscoのソフトはテストが甘すぎるよーな。以前も「おひおひ、それはテスト項目になかったのか?」と言ってやりたいヤツがありましたな。
Re:これか? (スコア:1, 参考になる)
こっちはこっちで客から「まだですかーーっ!」と怒られるわけですから。
痛し痒しです。
Re:これか? (スコア:1)
何もバグがあっちゃいけないと言うつもりはありませんが。ソースコードが数行を超えれば、ソフトにバグは潜むものです。しかし、それはそういうものだとテストもろくにせず言われては...。
通報者を犯罪者にさせないで (スコア:3, すばらしい洞察)
開発元が迅速に対応するのが一番重要なことなんだけど、
修正に時間がかかる場合には修正状況を通報者に伝えたりして、通報者の不安を和らげることで公表を思いとどまらせる、
みたいな事って出来ないのかなぁ。
Re:通報者を犯罪者にさせないで (スコア:2, 興味深い)
法に触れる行為を伴うやり方で公表するからですよね。
ところで、ISS、Ciscoと和解してFBIには「捜査」されてるという話までは
辿れたのだけれど、結局このLynnさんは何かの犯罪者になったのかしら?
Re:通報者を犯罪者にさせないで (スコア:4, 興味深い)
全く違うでしょ。
悪用したら法に触れる行為が出来る事を検証するには、
多かれ少なかれ危ない橋を渡らずには脆弱性の調査が出来ない。
悪用する奴は躊躇い無くやるが、研究者はそれを報告するわけだ。
脆弱性報告をもみ消せば、脆弱性が無くなると勘違いしている企業は、
その報告の内容自体が、法に触れる事をやっていると強弁してるだけ。
法に触れる行為を行う奴が、その脆弱性をついた時に考えられる
最悪の事態の解決にあたろうって判断が先に出来ない企業体質。
Re:通報者を犯罪者にさせないで (スコア:0)
「多かれ少なかれ危ない橋を渡らざるを得ない」のは、情報の公表の方でしょう。業務妨害系の罪として訴えられるとか。だけどそれはあらゆる表現行為につき物のリスク。名誉毀損とかと同列。
Re:通報者を犯罪者にさせないで (スコア:1)
Re:通報者を犯罪者にさせないで (スコア:0)
リバースエンジニアリングすると「法に触れる」とでも?
Re:通報者を犯罪者にさせないで (スコア:0)
一部が公開されているだけで『全く法に触れずに「出来る事を検証」』できる場合があるのは明らかなのに、「無理」とおっしゃる根拠は?
Re:通報者を犯罪者にさせないで (スコア:0, フレームのもと)
と言われたら何も言い返せないでしょう。
よって「全て」です。
Re:通報者を犯罪者にさせないで (スコア:1)
kcg氏がなぜそんなに違法だということにしたがっているのかわからないのだが、その動機を教えてくれないか。
Re:通報者を犯罪者にさせないで (スコア:0)
Re:通報者を犯罪者にさせないで (スコア:0)
別ストーリーで「~はカス、~は最強」という罵りながらの評価よりも「~も良いが~はもっと良い」という落ち着いた語り口の方が説得力がある、という書き込みがあったが、この指摘は何気にヲタコミュニティの何がもっとも駄目なのかを如実に浮き彫りにしている気がする。要は自分のユタカスギル知識を正当化するために周りを無意識/意図的に黙殺するからなんだろうな。
#頭がいいのも自信を持ってるのも判ったよ。それを話していい状況なのかどうかを判断してくれ。
##自分もオフトピなのでAC
Re:通報者を犯罪者にさせないで (スコア:0)
待ちきれないのはなぜですか?
あなたが公表することで防げる被害と広がる被害を考えたら、
被害が防げるなんて思うのは傲慢そのものでしかないですよ。
Re:通報者を犯罪者にさせないで (スコア:3, すばらしい洞察)
一般的に行われうる攻撃手法に対して脆弱であるとか、
既に攻撃手法が公開されている場合であるとか、
自分以外にも脆弱性情報を知る者があることが分かっていて
彼が情報を公開しようとしていると知っていて且つ
自分の方が安全に情報公開できるとわかる場合であったり、
脆弱性発見者が公表することで防げる被害が大きいことも
なくはないのでは?
隠せば隠し通せるというのもまた傲慢ですよ。
Re:通報者を犯罪者にさせないで (スコア:0)
具体的な事例でもあげてみますか?
>隠せば隠し通せるというのも
誰もそんな話をしていないのに、そういう話に摩り替えたいのは、
そうでないとなにか都合が悪いのですか?
Re:通報者を犯罪者にさせないで (スコア:0)
限定されるとまずい事でも有るんですか?
> 誰もそんな話をしていないのに、そういう話に摩り替えたいのは、
> そうでないとなにか都合が悪いのですか?
元コメントの真似でしょ。
| 被害が防げるなんて思うのは傲慢そのものでしかないですよ。
コメント一個だけ読んで脊髄反射してないで、根っこのコメントから読みなさい。
Operating Software (スコア:2, 興味深い)
昔CCNA関係の講義を大学で取った時、IOSをOperating Systemの略でなくOperating Softwareと教わったものでした。教材の記述だったんで、これがCisco的に正しい呼び方かなぁ、と思ってたんですが、元記事読む限り、Operating Systemなんですか。
長いことCisco IOS触ってないのでAC
Re:Operating Software (スコア:0)
Re:Operating Software (スコア:0)
#IDで初期スコアを0にするというオプションも欲しいかも。
サポート契約無しでダウンロードしたい (スコア:2, すばらしい洞察)
セキュリティーパッチくらいは無償で提供してもいいと思うのだが・・・。
金も払わずにサポートすることなんか求めていないからさ。ほんと、ケチだよね。
Re:サポート契約無しでダウンロードしたい (スコア:5, 参考になる)
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
* +1 800 553 2447(北米内からのフリー ダイヤル)
* +1 408 526 7209(北米以外からの有料通話)
* 電子メール:tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。 サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
* +1 800 553 2447(北米内からのフリー ダイヤル)
* +1 408 526 7209(北米以外からの有料通話)
* 電子メール:tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
Re:サポート契約無しでダウンロードしたい (スコア:1, すばらしい洞察)
下手な英語を使うより、日本語わかるヤツ出せの方が話が通じそうだし。
そもそもシスコには日本法人があって、日本語による営業活動や有料サポートをしているのから、
修正パッチの提供に関する受付くらい日本語で受付対応するか、
英語での対応なら機械的に対応できるようにしとけっつうの。
あ~、シスコに対してだんだん腹が立ってきた。
Re:サポート契約無しでダウンロードしたい (スコア:1)
CCNAのためと、速度が必要ない機器のために今週中古ルータ買ったんだけど、これ該当品でしょ?
IOS (tm) C2600 Software (C2600-IO3-M),
Version 12.3(6), RELEASE SOFTWARE (fc3)
Ciscoの機器でしか使えないIOSを、なんで自由に配布してくれないのかなあ。
面倒にして買い替えを促そうとしてるとしか思えんが、そうしたら
次は他社の機器にしたくなるってなもんだよね。
なんか気持ちが沈んできたよ。
〜◍
Re:サポート契約無しでダウンロードしたい (スコア:1)
一応、IOSも売りもんだからじゃない。Ciscoの肩もつわけじゃないけど。メール送ればIOSのリリースアップはできるわけだし、そんなにひどくは無いと思うけどなぁ。
それに数台程度ならまぁ許容範囲。CCNAの勉強にIOS入れ替えてみるのも悪くない。
これが数百、数千台だとねぇ。まじ泣きしちゃうことになるかもしんない。
Re:サポート契約無しでダウンロードしたい (スコア:1)
IOSのバージョンアップを勉強したいってのなら話は別ですが。それともまさか、CCNAの勉強として不完全な設定のルータをインターネットに晒すおつもり...?
余談ですが、AironetのIOSはVxWorksからのバージョンアップ用として公開されていましたね。今はわかりませんが。
Re:サポート契約無しでダウンロードしたい (スコア:3, 参考になる)
ユーザがこの脆弱性の為に損害を被ったら,PL法にかかりそうだけど.
と思って,調べてみたところ,
ハードウェアとソフトウェアのメーカーが同一でなければ、ソフトウェアに欠陥があっても
製造物責任法の対象にならないと考える説
が対立しているというのは分かったが,判例は見つからなかった.
いずれにしても,この場合は適用できる可能性が高いと.
#まあ,cisco製品買わないのが一番懸命なのかもしれない
Re:サポート契約無しでダウンロードしたい (スコア:1, 参考になる)
市場規模が全然違うのですが 国産ベンダの修正ファイルのダウンロードの可否についてしらべてみました。
ヤマハ [netvolante.jp]○
アライド [allied-telesis.co.jp]○
アラクサラ [alaxala.com]×→対策版ソフトウェアの入手につきましては、弊社担当営業へお問い合わせください
古川電工 [furukawa.co.jp]△→ハイエンド、キャリアグレードの製品についてのサポート情報を発見できず。
ciscoやOracleが有名すぎるだけで修正ファイルの提供が保守契約内なんてのはどこもかしこもやってるみたいですね。
Re:サポート契約無しでダウンロードしたい (スコア:1, 参考になる)
数十万円程度のものを大量に売っているわけだから、おのずと社会的責任も違うと思うのよ。
忘れ物をお届けにまいりました (スコア:0)